استانداردی برای مدیریت امنیت اطلاعات

استانداردی برای مدیریت امنیت اطلاعات

● چکیده نیاز روزافزون به استفاده از فناوریهای نوین در عرصه اطلاعات و ارتباطات، ضرورت استقرار یک نظام مدیریت امنیت اطلاعات را بیش از پیش آشکار می‌نماید . در این مقاله ضمن اشاره به برخی از ویژگیهای این نظام مدیریتی به معرفی استاندارد بین‌المللی موجود در این زمینه و نحوه رویکرد مناسب به آن اشاره شده است . در خاتمه نیز برخی از مزایای استقرار یک نظام مدیریت امنیت اطلاعات را برشمرده‌ایم . ● مقدمه امروزه شاهد بکارگیری تجهیزات الکترونیک و روشهای مجازی در بخش عمده‌ای از فعالیتهای روزمره همچون ارائه خدمات مدیریت و نظارت و اطلاع‌رسانی هستیم . فضایی که چنین فعالیتهایی در آن صورت می‌پذیرد با عنوان فضای تبادل اطلاعات شناخته می‌شود. فضای مذکور همواره در معرض تهدیدهای الکترونیک یا آسیبهای فیزیکی از قبیل جرایم سازمان یافته به‌منظور ایجاد تغییر در محتوا یا جریان انتقال اطلاعات ، تخریب بانکهای اطلاعاتی، اختلال در ارائه خدمات اطلاع‌رسانی یا نظارتی و نقض حقوق مالکیت معنوی است. از طرف دیگر با رشد و توسعه فزاینده فناوری اطلاعات و گسترش شبکه‌های ارتباطی، آسیب‌پذیری فضای تبادل اطلاعات افزایش یافته است و روشهای اعمال تهدیدهای یادشده گسترده‌تر و پیچیده‌تر می‌شود . از این‌رو حفظ ایمنی فضای تبادل اطلاعات از جمله مهمترین اهداف توسعه فناوری اطلاعاتی و ارتباطی محسوب می‌شود‌. به‌موازات تمهیدات فنی اعمال شده لازم است در قوانین و سیاستهای جاری متناسب با جایگاه نوین فضای تبادل اطلاعات در امور مدیریتی و اطلاع‌رسانی تجدید نظر شده و فرهنگ صحیح بکارگیری امکانات یادشده نیز در سطح جامعه ترویج شود . بدیهی است که توجه نکردن به تامین امنیت فضای تبادل اطلاعات و برخورد نادرست با این مقوله مانع از گسترش فضای مذکور در میان آحاد جامعه و جلب اعتماد مدیران در بکارگیری روشهای نوین نظارتی و اطلاع‌رسانی خواهد شد . ایجاد یک نظام منسجم در سطح ملی با لحاظ کردن ویژگیهای خاص فضای تبادل اطلاعات و مقوله امنیت در این فضا یک ضرورت است. برخی از این ویژگیها به‌قرار زیر است: ▪ امنیت فضای تبادل اطلاعات مفهومی کلان و مبتنی بر حوزه‌های مختلف دانش است . ▪ امنیت با توجه به هزینه و کارایی تعریف می‌شود و مقوله‌ای نسبی است . ▪ امنیت متأثر از مجموعه آداب، سنن و اخلاقیات حاکم بر جامعه است . ▪ امنیت در فضای تبادل اطلاعات از روند تغییرات سریع فناوریهای مرتبط تأثیرپذیر است . خوشبختانه در برنامه چهارم توسعه به این مهم توجه خاصی شده است، به‌نحوی که ارائه سند راهبرد ملی امنیت فضای تبادل اطلاعات کشور تا پایان سال اول برنامه الزام شده است . همچنین در پیش‌نویس این سند پیشنهاد شده است که دستگاههای مجری طرحهای خود در انطباق با سند مذکور ارائه کنند . ● استاندارد BS۷۷۹۹/ISO۱۷۷۹۹ با توجه به اهمیت موضوع، آحاد جامعه بخصوص مدیران سازمانها باید همراستا با نظام ملی امنیت فضای تبادل اطلاعات به تدوین سیاست امنیتی متناسب با حوزه فعالیت خویش بپردازند. در حقیقت امروزه مدیران، مسئولیتی بیش از حفاظت دارند. آنها باید سیستم‌های آسیب‌پذیر خود را بشناسند و روشهای استفاده نابجا از آنها را در سازمان خود تشخیص دهند. علاوه‌برآن باید قادر به طرح‌ریزی برنامه‌های بازیابی و جبران خسارت هم باشند. ایجاد یک نظام مدیریت امنیت اطلاعات در سازمانها باعث افزایش اعتماد مدیران در بکارگیری دستاورد‌های نوین فناوری اطلاعات و برخورداری از مزایای انکارناپذیر آن در چنین سازمانهایی می‌شود. خوشبختانه قریب به یک دهه از ارائه یک ساختار امنیت اطلاعات، توسط مؤسسه استاندارد انگلیس می‌گذرد. در این مدت استاندارد فوق‌الذکر(BS۷۷۹۹) مورد بازنگری قرار گرفته و در سال ۲۰۰۰ میلادی نیز موسسه بین‌المللی ISO اولین بخش آن را در قالب استاندارد ISO۱۷۷۹۹ ارائه کرده است. در سال ۲۰۰۲ نیز یک بازنگری در بخش دوم استانداردBS۷۷۹۹ به‌منظور ایجاد سازگاری با سایر استانداردهای مدیریتی نظیر ISO۹۰۰۱-۲۰۰۰ و ISO۱۴۰۰۱-۱۹۹۶ صورت پذیرفت. در حال حاضر نیز بازنگری به منظور انجام بهبود در بخشهای مربوط به پرسنل و خدمات تامین‌کنندگان و راحتی کاربری و مفاهیم مرتبط با امنیت برنامه‌های موبایل بر روی این استاندارد در حال انجام است که پیش‌بینی می‌شود در سال جاری میلادی ارائه شود. پیش از توضیح راجع‌به استاندارد مذکور، لازم است شرایط تحقق امنیت اطلاعات تشریح شود. امنیت اطلاعات اصولاً در صورت رعایت سه خصیصه زیر تامین می‌شود : ▪ محرمانه بودن اطلاعات: یعنی اطمینان از اینکه اطلاعات می‌توانند تنها در دسترس کسانی باشند که مجوز دارند. ▪ صحت اطلاعات: یعنی حفاظت از دقت و صحت اطلاعات و راههای مناسب پردازش آن اطلاعات. ▪ در دسترس بودن اطلاعات: اطمینان از اینکه کاربران مجاز در هر زمان که نیاز داشته باشند، امکان دسترسی به اطلاعات و تجهیزات وابسته به آنها را دارند. در این راستا امنیت اطلاعات از طریق اجرای مجموعه‌ای از کنترلها که شامل سیاستها ، عملیات ، رویه‌ها ، ساختارهای سازمانی و فعالیتهای نرم‌افزاری است، حاصل می‌شود. این کنترل‌ها باید به‌منظور اطمینان از تحقق اهداف امنیتی مشخص هر سازمان برقرار شوند. استانداردBS۷۷۹۹/ISO۱۷۷۹۹ در دو قسمت منتشر شده است : ▪ ((ISO/IEC۱۷۷۹۹ part۱) یک نظام‌نامه عملی مدیریت امنیت اطلاعات است مبتنی بر نظام پیشنهادها و به منظور ارائه و ارزیابی زیرساخت‌های امنیت اطلاعات. ▪ (BS۷۷۹۹ part ۲) مشخصات و راهنمای استفاده مدیریت امنیت اطلاعات است که در حقیقت یک راهنمای ممیزی است که بر مبنای نیازمندیها استوار است. بخش اول مشخص کننده مفاهیم امنیت اطلاعاتی است که یک سازمان بایستی بکار گیرد، در حالی‌که بخش دوم در برگیرنده مشخصه های راهبردی برای سازمان است. بخش اول شامل رهنمودها و توصیه‌هایی است که ?? هدف امنیتی و ??? کنترل را در قالب ?? حوزه مدیریتی از سطوح مدیریتی تا اجرایی به‌قرار زیر ارائه نموده است : ۱) سیاست امنیتی: دربرگیرنده راهنماییها و توصیه‌های مدیریتی به‌منظور افزایش امنیت اطلاعات است. این بخش در قالب یک سند سیاست امنیتی شامل مجموعه‌ای از عبارات اجرایی در جهت پیشبرد اهداف امنیتی سازمان تنظیم می‌شود. ۲) امنیت سازمانی: این بعد اجرایی کردن مدیریت امنیت اطلاعات در سازمان از طریق ایجاد و مدیریت زیرساختهای امنیتی شامل: - کمیته مدیریت امنیت اطلاعات - متصدی امنیت سیستم اطلاعاتی - صدور مجوزهای لازم برای سیستم‌های پردازش اطلاعات - بازنگری مستقل تاثیرات سیستم‌های امنیتی - هدایت دسترسی تامین‌کنندگان به اطلاعات درون سازمان را دربرمی گیرد. ۳) طبقه‌بندی و کنترل داراییها: طبقه‌بندی داراییها و سرمایه‌های اطلاعاتی و پیشبرد انبارگردانی و محافظت مؤثر از این سرمایه‌های سازمان، حوزه سوم این بحث است. ۴) امنیت پرسنلی: تقلیل مخاطرات ناشی از خطای انسانی ، دستبرد ، حیله و استفاده نادرست از تجهیزات که به بخشهای زیر قابل تقسیم است : - کنترل پرسنل توسط یک سیاست سازمانی که با توجه به قوانین و فرهنگ حاکم برای ارزیابی برخورد پرسنل با داراییهای سازمان اتخاذ می‌شود. - مسئولیت پرسنل که باید برای ایشان بخوبی تشریح شود. - شرایط استخدام که در آن پرسنل باید به‌وضوح از مسئولیتهای امنیتی خویش آگاه شوند. - تعلیمات که شامل آموزشهای پرسنل جدید و قدیمی سازمان در این زمینه می‌شود. ۵) امنیت فیزیکی و محیطی: محافظت در برابر تجاوز ، زوال یا از هم گسیختگی داده‌ها و تسهیلات مربوط که شامل بخشهای امنیت فیزیکی محیط ، کنترل دسترسیها ، امنیت مکان ، تجهیزات و نقل و انتقال داراییهای اطلاعاتی می‌شود . ۶) مدیریت ارتباطات و عملیات: کسب اطمینان از عملکرد مناسب و معتبر تجهیزات پردازش اطلاعات که شامل روشهای اجرایی‌، کنترل تغییرات ، مدیریت وقایع و حوادث‌، تفکیک وظایف و برنامه‌ریزی ظرفیتهای سازمانی می‌شود. ۷) کنترل دسترسی: کنترل نحوه و سطوح دسترسی به اطلاعات که در شامل مدیریت کاربران ، مسئولیتهای کاربران، کنترل دسترسی به شبکه، کنترل دسترسی از راه دور و نمایش دسترسیهاست. ۸) توسعه و نگهداری سیستم‌ها: اطمینان از اینکه امنیت جزء جدانشدنی سیستم‌های اطلاعاتی شده است. این بخش شامل تعیین نیازمندیهای امنیت سیستم‌ها و امنیت کاربردی‌، استانداردها و سیاستهای رمزنگاری‌، انسجام سیستم‌ها و امنیت توسعه است. ۹) تداوم و انسجام کسب و کار: تقلیل تاثیرات وقفه‌های کسب و کار و محافظت فرایند‌های اساسی سازمان از حوادث عمده و شکست. ۱۰) همراهی و التزام: اجتناب از هرگونه پیمان‌شکنی مجرمانه از قوانین مدنی ، قواعد و ضوابط قراردادی و سایر مسائل امنیتی بخش دوم استاندارد فراهم کننده شرایط مدیریت امنیت اطلاعات است. این بخش به قدمهای توسعه ، اجرا و نگهداری نظام مدیریت امنیت اطلاعات می‌پردازد. ارزیابی سازمانهای متقاضی اخذ گواهینامه از طریق این سند انجام می‌پذیرد.● نظام مدیریت امنیت اطلاعات نظام مدیریت امنیت اطلاعات ISMS ، در مجموع یک رویکرد نظام‌مند به مدیریت اطلاعات حساس بمنظور محافظت از آنهاست. امنیت اطلاعات چیزی فراتر از نصب یک دیواره آتش ساده یا عقد قرارداد با یک شرکت امنیتی است . در چنین رویکردی بسیار مهم است که فعالیتهای گوناگون امنیتی را با راهبردی مشترک به‌منظور تدارک یک سطح بهینه از حفاظت همراستا کنیم . نظام مدیریتی مذکور باید شامل روشهای ارزیابی، محافظت، مستند‌سازی و بازنگری باشد ، که این مراحل در قالب یک چرخه PDCA(PLAN-DO-CHECK-ACT) تحقق پذیر است. (چرخه یادشده نقش محوری در تشریح و تحقق استاندارد ISO۹۰۰۱ دارد‌. ) ▪ برنامه ریزی Plan : - تعریف چشم‌انداز نظام مدیریتی و سیاستهای امنیتی سازمان. - تعیین و ارزیابی مخاطرات. - انتخاب اهداف کنترل و آنچه سازمان را در مدیریت این مخاطرات یاری می‌کند. - آماده‌سازی شرایط اجرایی. ▪ انجام Do: - تدوین و اجرای یک طرح برای تقلیل مخاطرات. - اجرای طرحهای کنترلی انتخابی برای تحقق اهداف کنترلی. ▪ ارزیابی Check : - استقرار روشهای نظارت و پایش. - هدایت بازنگریهای ادواری به‌منظور ارزیابی اثربخشی ISMS. - بازنگری درحد قابل قبول مخاطرات. - پیشبرد و هدایت ممیزیهای داخلی به‌منظور ارزیابی تحقق ISMS. ▪ بازانجام Act: - اجرای توصیه‌های ارائه شده برای بهبود. - نظام مدیریتی مذکور. - انجام اقدامات اصلاحی و پیشگیرانه. - ارزیابی اقدامات صورت پذیرفته در راستای بهبود. همانند نظامهای مدیریت کیفیت نظام مدیریت امنیت اطلاعات نیز در دو بخش فرایندها و محصولات مطرح است. بخش فرایندها بر طراحی و اجرای دستورالعملهای مدیریتی به‌منظور برقراری و حفظ امنیت اطلاعات استوار است و بخش محصولات یک نظام مدیریتی است که سازمان به‌منظور بکارگیری محصولات نرم‌افزاری معتبر در زیرساختهای فناوری اطلاعات خود برای برقراری و حفظ امنیت اطلاعات خویش از آن بهره می‌گیرد . چیزی که این دو بخش را به هم پیوند می‌دهد میزان انطباق با بخشهای استاندارد است که در یکی از چهار رده زیر قرار می‌گیرد : ▪ کلاس اول : حفاظت ناکافی ▪ کلاس دوم : حفاظت حداقل ▪ کلاس سوم : حفاظت قابل قبول ▪ کلاس چهارم : حفاظت کافی ● مراحل اجرای نظام مدیریت امنیت اطلاعات پیاده‌سازی ISMS در یک سازمان این مراحل را شامل می‌شود: ▪ آماده سازی اولیه : در این مرحله باید از همراهی مدیریت ارشد سازمان اطمینان حاصل شده، اعضای تیم راه‌انداز انتخاب شوند و آموزش ببینند . باید توجه شود که امنیت اطلاعات یک برنامه نیست بلکه یک فرایند است . ▪ تعریف نظام مدیریت امنیت اطلاعات‌: این مرحله شامل تعریف چشم‌انداز و چهارچوب نظام در سازمان است. لازم به ذکر است که چگونگی این تعریف از مهمترین عوامل موفقیت پروژه محسوب می‌شود . ▪ ایجاد سند سیاست امنیت اطلاعات : که پیشتر ‌به آن اشاره شد . ▪ ارزیابی مخاطرات : باید به بررسی سرمایه‌هایی که نیاز به محافظت دارند پرداخته و تهدیدهای موجود را شناخته و ارزیابی شود. در این مرحله باید میزان آسیب‌پذیری اطلاعات و سرمایه‌های فیزیکی مرتبط نیز مشخص شود . ▪ آموزش و آگاهی‌بخشی‌: به‌ دلیل آسیب‌پذیری بسیار زیاد پرسنل در حلقه امنیت اطلاعات آموزش آنها از اهمیت بالایی برخوردار است . ▪ آمادگی برای ممیزی : باید از نحوه ارزیابی چهارچوب مدیریتی سازمان آگاه شد و آمادگی لازم برای انجام ممیزی را فراهم کرد. ▪ ممیزی : باید شرایط لازم برای اخذ گواهینامه در سازمان شناسایی شود . ▪ کنترل و بهبود مداوم : اثر‌بخشی نظام مدیریتی پیاده شده باید مطابق مدل به‌رسمیت شناخته شده کنترل و ارتقا یابد. در کلیه مراحل استقرار نظام مدیریت امنیت اطلاعات مستند‌سازی از اهمیت ویژه‌ای برخوردار است. مستندات از یک طرف به تشریح سیاست ، اهداف و ارزیابی مخاطرات می‌پردازند و از طرف دیگر کنترل و بررسی و نظارت بر روند اجرای ISMS را بر عهده دارند . در کل می‌توان مستندات را به چهار دسته تقسیم کرد: ۱) سیاست ، چشم‌انداز ، ارزیابی مخاطرات و قابلیت اجرای نظام مذکور که در مجموع به‌عنوان نظام‌نامه امنیتی شناخته می‌شود . ۲) توصیف فرایندها که پاسخ سؤالات چه کسی ؟ چه چیزی ؟ چه موقع ؟ و در چه مکانی را می دهد و به‌عنوان روشهای اجرایی شناخته می‌شوند . ۳) توصیف چگونگی اجرای وظایف و فعالیتهای مشخص شده که شامل دستورالعملهای کاری ، چک لیست‌ها ، فرم‌ها و نظایر آن می‌شود . ۴) مدارک و شواهد انطباق فعالیتها با الزامات ISMS که از آنها به‌عنوان سوابق یاد می‌شود . ● نتیجه گیری هر چند بکارگیری نظام مدیریت امنیت اطلاعات و اخذ گواهینامه ISO۱۷۷۹۹ بتنهایی نشاندهنده برقراری امنیت کامل در یک سازمان نیست، اما استقرار این نظام مزایایی دارد که مهمترین آنها چنین است: - در سطح سازمانی استقرار نظام یادشده تضمینی برای التزام به اثربخشی تلاشهای امنیتی در همه سطوح و نمایشی از تلاشهای مدیران و کارکنان سازمان در این زمینه است‌. - در سطح قانونی، اخذ گواهینامه به اولیای امور ثابت می‌کند که سازمان تمامی قوانین و قواعد اجرایی در این زمینه را رعایت می‌کند‌. - در سطح اجرایی، استقرار این نظام باعث اطلاع دقیقتر از سیستمهای اطلاعاتی و ضعف و قوت آنها می‌شود . علاوه‌بر این چنین نظامی استفاده مطمئن‌تر از سخت‌افزار و نرم‌افزار را تضمین می‌کند . - در سطح تجاری تلاشهای مؤثر سازمان به منظور حفاظت از اطلاعات در شرکا و مشتریان اطمینان خاطر بیشتری را فراهم می‌آورد. - در سطح مالی این اقدام باعث کاهش هزینه‌های مرتبط با مسائل امنیتی و کاهش احتمالی حق بیمه‌های مرتبط می‌شود . - در سطح پرسنلی، افزایش آگاهی ایشان از نتایج برقراری امنیت اطلاعات و مسئولیتهای آنها در مقابل سازمان از مزایای بکارگیری چنین نظامی است

آشنایی با سیستم مدیریت امنیت اطلاعات ( ISMS )

آشنایی با سیستم مدیریت امنیت اطلاعات ( ISMS )

به نظر می رسد سازمانهای مختلف با توجه به میزان اهمیت نقش اطلاعات موجود در آنها نیازمند مدیریتی قوی در جهت حفظ امنیت این اطلاعات می باشند. امنیت اطلاعات به حفاظت از اطلاعات و به حداقل رساندن دسترسی غیر مجاز به آنها اشاره می کند . مفهوم سیستم مدیریت امنیت اطلاعات ( ISMS ) عبارت است از : (( امنیت اطلاعات بخشی از سیستم مدیریت کلی و سراسری در یک سازمان که بر پایه رویکرد مخاطرات کسب و کار قرار داشته و هدف آن پایه گذاری ، پیاده سازی ، بهره برداری ، نظارت ، باز بینی ، نگهداری و بهبود امنیت اطلاعات است )). در این مقاله سعی شده تا ضمن معرفی سیستم مدیریت امنیت اطلاعات ، انواع خطرهای تهدید کننده سیستم های اطلاعاتی را معرفی و راهکار مناسب جهت حفظ امنیت اطلاعات هر سازمان را ارائه نمود . ● مقدمه هر سیستم برای ادامه ی حیات و زندگی خود نیازمند کسب اطلاعات گوناگون و همچنین حفاظت از اطلاعات و اسرار خود می باشد و مبحث کسب اخبار و اطلاعات از زمانهای قدیم مرسوم بوده و بعضا دستیابی یا نشر اطلاعات یک سیستم باعث نابودی آن سیستم گشته . امروزه با توجه به اینکه اطلاعات به عنوان یک ابزار تجاری و رقابتی و سرمایه ای سودآور مطرح گردیده بسیار ی از سازمانها به دنبال ایجاد سیستمهای امنیتی برای جلوگیری از درز اطلاعاتشان به بیرون می باشند تا بتوانند کل مجموعه خود را حفظ کنند در این راستا ایجاد یک سیستم امنیتی قوی می تواند برای حفظ امنیت اطلاعات هر سازمان موثر باشد سیستمی که بر اساس نیازهای سازمان و میزان اهمیت اطلاعات در آن طراحی شده باشد و حفاظی باشد جهت تامین سرمایه های اطلاعاتی . سیستم مدیریت امنیت اطلاعات ( ISMS )ابزاری مناسب است در جهت طراحی و کنترل امنیت اطلاعات. ● امنیت اطلاعات امنیت اطلاعات عبارت است از حفاظت اطلاعات و به حداقل رساندن دسترسی غیر مجاز به آنها (جعفری ، ۱:۱۳۸۷ ) همچنین علم مطالعه روشهای حفاظت از داده ها در رایانه ها و نظام های ارتباطی در برابر تغییرات غیر مجاز است (عبداللهی ،۱۳۷۵)امنیت اطلاعات حفاظت از محرمانگی ، تمامیت و دسترس پذیری اطلاعات است. علاوه بر این ها سایر ویژگی ها از قبیل اصالت ، قابلیت جوابگویی ، اعتبار ، انکار ناپذیری و قابلیت اطمینان اطلاعات نیز می توانند مشمول این حفاظت باشند. ● مدیریت امنیت اطلاعات مدیریت امنیت اطلاعات بخشی از مدیریت اطلاعات است که وظیفه تعیین اهداف ، امنیت و بررسی موانع سر راه رسیدن به این اهداف و ارائه راهکارهای لازم را بر عهده دارد. (اسعدی شالی،۱:۱۳۸۴) ● سیستم مدیریت امنیت اطلاعات ((ISMS مفهوم سیستم مدیریت اطلاعات عبارت است از : بخشی از سیستم مدیریت کلی و سراسری در یک سازمان است که بر پایه ی رویکرد مخاطرات کسب و کار قرار داشته و هدف آن پایه گذاری ، پیاده سازی ، بهره برداری ، نظارت ، بازبینی ، نگهداری و بهبود امنیت اطلاعات است . سیستم مدیریت امنیت اطلاعات در مجموع یک رویکرد نظام مند به مدیریت اطلاعات حساس به منظور محافظت از آن هاست.امنیت اطلاعات چیزی فراتر از نصب یک دیواره ی آتش ساده یا عقد قرارداد با یک شرکت امنیتی است. در چنین رویکردی بسیار مهم است که فعالیت های گوناگون امنیتی را با راهبردی مشترک به منظور تدارک یک سطح بهینه از حفاظت همراستا کنیم. (پورمند ،۴:۱۳۸۷ ) ● خطرهای تهدید کننده ی سیستم اطلاعاتی خطرهای تهدید کننده ی امنیت اطلاعات به دو دسته ی عمدی و غیر عمدی تقسیم می شوند ، خطرهای عمدی خطرهایی هستند که امنیت اطلاعات سیستم را با برنامه ی قبلی و هدفی خاص مورد حمله قرار می دهند مثل خطر هکرها و خطرهای غیرعمدی خطرهایی هستند که بر اثر اشتباهات انسان و نیروی کار به سیستم وارد می شود که این نوع خطر بیشترین میزان خسارات را به سیستم اطلاعاتی وارد می کنند همچنین خطرهای ناشی از عوامل طبیعی مثل سیل ،زلزله،طوفان و... جزء تهدیدات غیر عمدی به حساب می آید . برای اینکه در سیستم ها بتوانیم خطرهای موجود را رفع کنیم قبل از هر چیز باید به فکر ایجاد امنیت شبکه های اطلاعاتی خود باشیم این ایجاد امنیت ابتدا باید شامل اتخاذ سیاست های امنیتی باشد.مواردی که یک سازمان برای پیاده سازی یک سیستم امنیتی اعمال می کند به شرح زیر می باشد : ۱) تعیین سیاست امنیتی ۲) اعمال سیاست های مناسب ۳) بررسی بلادرنگ وضعیت امنیت اطلاعاتی بعد از اعمال سیاست امنیتی ۴) بازرسی و تست امنیت شبکه ی اطلاعاتی ۵) بهبود روش های امنیت اطلاعاتی سازمان (دشتی ، ۱۵۹ :۱۳۸۴ ) ● مراحل اجرای سیستم مدیریت امنیت و اطلاعات (ISMS) اجرای (( ISMS در یک سازمان طبق مراحل ذیل صورت میپذیرد: ۱) آماده سازی ۲) تعریف نظم مدیریت امنیت اطلاعات ۳) ایجاد سند سیاست امنیت اطلاعات ۴) ارزیابی مخاطرات ۵) آموزش و آگاهی بخشی ۶)آمادگی برای ممیزی ۷) کنترل و بهبود مداوم ● شرایط لازم جهت طراحی سیستم امنیت اطلاعات ۱) اطمینان : از سلامت اطلاعات چه در زمان ذخیره و چه به هنگام بازیابی و ایجاد امکان برای افرادی که مجاز به استفاده از اطلاعات هستند. ۲)دقت : اطلاعات چه از نظر منبع ارسالی و چه در هنگام ارسال و بازخوانی آن باید از دقت و صحت برخوردار باشند و ایجاد امکاناتی در جهت افزایش این دقت ضرورت خواهد داشت. ۳) قابلیت دسترسی : اطلاعات برای افرادی که مجاز به استفاده از آن می باشند باید در دسترس بوده و امکان استفاده در موقع لزوم برای این افراد مقدور باشند (اسعدی شالی ،۱۳۸۴) ● سیستم مدیریت امنیت اطلاعات در ایران متأسفانه تا کنون توجه چندانی به ISMS در ایران نشده است و هیچ سازمان و ارگانی از ایران موفق به کسب گواهینامه ی لازم جهت استاندارد امنیت اطلاعات نگردیده است حال اینکه کشور ما به لحاظ موقعیت خاص خود همیشه مورد هجوم و دستبردهای اطلاعاتی از طرق مختلف بوده که بعضا ضرباتی جبران ناپذیر را نیز متحمل گردیده . با توجه به این مسأله به نظر می آید لزوم استاندارد سازی در مبحث امنیت اطلاعات در کشور ما یک نیاز اساسی جهت حفظ محرمانگی و امنیت اطلاعات است. ● نتیجه گیری شاید استفاده از سیستم امنیت اطلاعات به نظر سخت آید اما به کارگیری آن لازم و ضروری است و هزینه هایی نیز دارد که در نگاه اول ممکن است این هزینه ها زیاد به نظر آید اما هزینه هایی هستند که فواید بیشتری دارند.استقرار این نظام باعث ایجاد حساسیت و کنترل بهتر جهت حفظ محرمانگی اسرار یک سیستم است و در آن نقش آموزش و برنامه ریزی کلان جهت نیروهای انسانی و جلوگیری از حوادث اطلاعاتی نقشی بسیار موثر است که به جز با حمایت مدیران یک مجموعه امکان پذیر نمی باشد. برای اینکه بتوانیم حمایت مدیران را جهت برقراری امنیت اطلاعات جلب کنیم بهتر است سیستمی مناسب را ارایه نماییم تا حمایت آنان را برای تقویت امنیت اطلاعات به دست آوریم و در این راستا ( ISMS ) یک سیستم مناسب و استاندارد برای این امر می باشد .

آسیب شناسی پروژه های برنامه‌ریزی فناوری اطلاعات

آسیب شناسی پروژه های برنامه‌ریزی فناوری اطلاعات

پروژه های برنامه ریزی فناوری اطلاعات، در مدت نسبتاً کوتاهی که از سابقه تعریف و اجرای آنها در کشور می گذرد، اغلب با مشکلات و چالشهایی روبرو هستند. برخی از چالشها ناشی از عوامل محیطی و پاره ای ناشی از ضعف عوامل اجرایی این پروژه هاست. در این مقاله، که برمبنای تجارب نگارنده در اجرای پروژه های برنامه ریزی فناوری اطلاعات در سازمانهای دولتی و خصوصی کشور، و با جمع بندی تجارب حاصل از اجرای این پروژه ها تهیه شده است، ابتدا معیارهای مــــوفقیت پروژه های برنامه ریزی فناوری اطلاعات برشمرده می شود، و سپس مهمترین چالشهای فراروی مجریان اینگونه پروژه ها تشـــــریح می گردد. در پایان نیز توصیه هایی برای مقابله با این مخاطرات و کاهش اثرات آنها ذکر می شود. ● زمینه با روند روزافزون توسعه فناوری اطلاعات درکشور ما، در سطــــح ملی و سازمانی که به افزایش سرمایه گذاری در توسعه زیرساختها و کاربردهای فنــــاوری اطلاعات در هر دو سطح منجــر شده است، تمایل فزاینده ای برای تعریف و اجرای پروژه های برنامه ریزی فناوری اطلاعـــــــات در سازمانها و موسسات دولتی وخصوصی کشور پدید آمده است. اینگونه پـــروژه ها که طیف نسبتاً وسیعی از برنامه ریزی سیستم های اطلاعاتی (ISP) تا تهیه طرحهای جامع و تدوین معماری سازمانی فناوری اطلاعات را دربرمی گیرند، سابقه طولانی درکشور ما ندارند و در مقــــایسه با پروژه های متعارف توسعه نرم افزار یا ایجاد زیرساخت، نسبتاً جدیدتر به شمار می روند. به همین نسبت نیز مشکلات بیشتری در تعریف، واگذاری، اجرا و پذیرش نتایج این پروژه ها در سازمانهای مختلف مشاهده می شود. بدبینی عمومی نسبت به پروژه های مشـــاوره ای و برنامه ریزی درکشور، که به این گونه پروژه ها عمدتاً به چشم فعالیتهای پرطمطراق «گزارش ساز» می نگرد، از یکسو، و عدم کفایت و صلاحیت برخی از مشاورانی که به انجام این پروژه ها مبادرت می ورزند، ازســـوی دیگر، نرخ موفقیت پروژه های برنامه ریزی فناوری اطلاعات را به شدت پایین آورده است. از این رو، شناسایی و تحلیل مخاطرات و مشکلات فراروی پروژه های برنامه ریزی فناوری اطلاعات هم برای مجریان و هم برای کارفرمایانی که قصد تعریف چنین پروژه هایی را دارند، بسیار ضروری است. بــــــرای آسیب شناسی پروژه های برنامه ریزی فناوری اطلاعات اصولاً دو رهیافت وجود دارد: اول رهیافت مطالعه تطبیقی مبتنی بر مطالعه میدانی پروژه های انجام شده و جمع بندی تجارب حاصل از آنها، و دوم مطالعه تحلیلی پروژه های انجام شده توسط هر مشاور برای درس گیری از تجارب موفق یا ناموفق. هرچند جای مطالعه ای از نوع اول در شرایط کنونی کشور ما خالی است(۱). اما دشواریهای طبیعی انجام چنین مطالعاتی ضرورت انتشار نتایج مطالعات نوع دوم را از سوی مجریان پروژه های برنامه ریزی فناوری اطلاعات آشکار می سازد. ● معیارهای موفقیت پیش از بررسی عوامل شکست پروژه های برنامه ریزی فناوری اطلاعات، باید ابتدا تعریفی از مـــوفقیت یا شکست این پروژه ها به دست دهیم. دیدگاههای سنتی درمورد موفقیت پروژه ها، بر سه عامل زمان، هزینه و کیفیت تاکید دارند. مطابق این تعریف، پروژه موفق پروژه ای است که در زمان تعیین شده و با هزینه پیش بینی شده به انجام رسیده و انتظارات اولیه از انجام پروژه را نیز برآورده سازد. در یک تقسیم بندی دیگر، پروژه های فناوری اطلاعات را می توان به سه دسته تقسیم کرد: الف) پروژه های موفق: پروژه هایی که در زمان تعیین شده، با هزینه پیش بینی شده و با کیفیت موردانتظار به اتمام می رسند؛ ب) پروژه های مشکل دار: پروژه هایی که به اتمام می رسند، اما ازنظر زمان، هزینه، کیفیت و یا هر سه جنبه با پیش بینی های اولیه تفاوت دارند؛ ج) پروژه های شکست خورده: پروژه هایی که هرگز به انتها نمی رسند. در دیدگاههای جدیدتر مدیریت پروژه، عــامل دیگری نیز به عنوان معیار موفقیت پروژه ها مطرح می شود، و آن میزان اثربخشی پروژه در درازمدت است. از دید برخی از صاحبنظران، ارزیابی موفقیت یا شکست یک پروژه تنها پس از گذشت زمانی بین ۳ تا ۵ سال پس از پایان پروژه ممکن می شود (۲). به عنوان مثال، موفقیت یک پروژه پل سازی در شهر، در افق کوتاه مدت تنها باتوجه به زمان، هزینه و دستیابی به مشخصات فیزیکی و ملموس پل ساخته شده قابل ارزیابی است، اما در درازمدت اثر این پروژه در اهداف کلان تری مانند روانسازی ترافیک شهر و... باید موردتوجه قرارگیرد. درمورد پروژه های برنامه ریزی فناوری اطلاعات که هدف از اجرای آنها، ایجاد تحول در سازمانها و ارتقای بهره وری و کیفیت خدمات نهایی است، این معیار باید با شدت بیشتــری موردتوجه قرارگیرد. هیچ پروژه برنامه ریزی فناوری اطلاعات برای نفس نتایج خود پروژه انجام نمی شود، بلکه معمولاً اینگونه پروژه ها در آغاز فرایندی از توسعه مستمر و برنامه ای زیرساختها و کاربردهای فناوری اطلاعات در سازمان تعریف می شوند که باید در درازمدت به ایجاد تحول سازمانی، کاهش هزینه ها، سرعت انجام فرایندها یا تنوع خدمات سازمان بینجامد. از این منظر می توان پروژه ای را موفق دانست که علاوه بر اجرا در زمان و با هزینه پیش بینی شده، به تولید خروجیهای توافق شده از قبل بینجــامد، و در درازمدت نیز فرایند توسعه ای مستمری در زمینه فناوری اطلاعات را در سازمان ایجاد کند. ● چالشها چالشهای فراروی پروژه های برنامه ریزی فناوری اطلاعات را در یک دید کلی می توان به سه دسته زیر تقسیم کرد: مشکلات ناشی از محیط تعریف و اجرای پروژه؛ مشکلات ناشی از روش (متدولوژی) پروژه؛ مشکلات ناشی از نحوه اجرای پروژه. هرچند از این سه دسته مشکل، تنها مشکلات دسته ۲ و ۳ مستقیماً به مجری پروژه مربوط می شود و مهار مشکلات ناشی از محیط، معمولاً خارج از کنترل تیم اجرایی است، با وجود این، شناخت و تحلیل این مشکلات، توانایی مجری را درکاهش اثرات ریسک های ناشی از این گونه مشکلات افزایش می دهد. ● مشکلات ناشی از محیط ▪ ابهام در استراتژی های سازمانـــی: یکی از اصلی ترین اهداف برنامه ریزی فناوری اطلاعات در سازمانها، همسوسازی فناوری اطلاعات با استراتژی های سازمانی است. در دهه ۱۹۹۰ بروز آنچه به «پــــــــارادکس بهره وری»(۳) شهرت یافت، موضوع همسوسازی استراتژیک را به پارادایم غالب برنامه ریزی فناوری اطلاعات تبدیل کرد، به گونه ای که امروزه در همه روشهای بـــــرنامه ریزی فناوری اطلاعات شناخت جهت گیریهای استراتژیک سازمان و عناصر برنامه استراتژیک آن، اولین گام در فرایند بــرنامه ریزی فناوری اطلاعات به شمــــار می رود. در سازمانهای دولتی و خصوصی کشور ما، عدم وجود فرهنگ و تفکر استراتژیک، که خود ناشی از رقابتی نبودن فضای کسب و کار در کشور است، وضعیتی را پدید آورده که در آن، وجود سازمانهای دارای برنامه استراتژیک مدون و توافق شده، استثناست نه قاعده. اقدام به اجرای پروژه های برنامه ریزی فناوری اطلاعات در سازمانهایی که هیچیک از عناصر جهت گیری استراتژیک سازمانی (ماموریت، چشم انداز، اهداف، استراتژی ها، سیاستها، عوامل عمده موفقیت، شاخصهای کارایی و...) مشخص و مدون نیست، مجریان را ناگزیر به اتخاذ یکی از این روشها می کند: - مجری در مراحل آغازین پروژه، به جای جمع آوری و دریافت نتایج برنامه ریزی استراتژیک سازمانی، خود اقدام به تحلیل و برنامه ریزی استراتــژیک سازمانی (ولو به شکل محدود) می کند. در این صورت ضمن انحراف منابع و زمان پروژه، توجه مجریان از دنبال کردن فرایند برنامه ریزی فناوری اطلاعات به تحلیل استراتژیک سازمانی منحرف می شود. - مجری بدون شناسایی عناصر برنامه استراتژیک سازمانی، پروژه برنامه ریزی فنـــاوری اطلاعات را پیش می برد. درنتیجه هیچ تضمینی برای آنکه چنین پروژه هایی به تحقق همسوسازی استراتژیک بینجامد، وجود ندارد. در هر صورت، اهمیت وجود حداقلی از برنامه استراتژیک ســازمانی برای موفقیت پروژه های برنامه ریزی فناوری اطلاعات به حدی است که از آن به عنوان پیش نیاز اجرای این گونه پروژه ها یاد می شود (۴). نیازبه باز مهندسی فرایندها: اگر اثربخشی یک پروژه برنامه ریزی فناوری اطلاعات را در میزان تحولی بدانیم، که این پروژه در بهبود عملکرد نهایی سازمان دارد، باید اذعان کرد که انجام این گونه پروژه ها در سازمانهایی که فرایندهای سنتی انجام کار در آنها به طور اساسی نیاز به باز طرحی و بازمهندسی دارند، از پیش محکوم به شکست است. برنامه ریزی فناوری اطلاعات که با هدف بهینه سازی استفاده از فناوری اطلاعات دردستیابی سازمان به اهدافش انجام می شود، درصورتی که در چنین سازمانهایی اجرا شود، درنهایت ممکن است به مکانیزه شدن فرایندهایی منجر گردد که یا میزان ارتباط آنها با اهداف استراتژیک سازمان موردتردید است، و یا به دلیل اشکالات فراوان در گردش کار، عملاً مانع از دستیابی به سطح بالایی از بهره وری سازمانی می گردند. ▪ عدم مشارکت مدیران و کارکنان: باتوجه به ماهیت مشارکتی فرایند برنامه ریزی در سازمانها، یکی از بزرگترین چالشهای مجریان پروژه های برنامه ریزی فناوری اطلاعات جلب مشارکت فعال مدیران ارشد، مدیران میانی و سایر کارکنان سازمان در این پروژه هاست. نقش هریک از این سطوح سازمانی در فرایند برنامه ریزی فناوری اطلاعات تفاوت می کند و از تعیین جهت گیری استراتژیک تا ارائه اطلاعات لازم برای مدل سازی معماری موجود سازمان متغیر است، اما در هر صورت بدون میزان معینی از مشارکت هریک از سطوح ذکر شده، نمــــی توان به موفقیت پروژه های برنامه ریزی فناوری اطلاعات خوشبین بود. میــــزان مشارکت کارکنان در فرایند برنامه ریزی به عوامل متعددی از قبیل منشا تعریف پروژه، میزان حمایت رسمی مدیریت ارشد، اطلاع رسانی درمورد پروژه، طراحی سازوکارهای تشویقی و جبرانی برای مشارکت کارکنان و... وابسته است، اما در کشور ما به دلیل عوامل فرهنگی و اجتماعی متعددی که مانع از مشارکت جویی کارکنان در مدیریت و بویژه در پروژه های توسعه ای می گردد، سطح این مشارکتها بسیار پایین و جلب کارکنان به همکاری در این گونه پروژه ها بسیار دشوار است. ● مشکلات ناشی از روش ▪ تعریف محدوده و اهداف: یکی از مراحل ابتدایی هر پروژه برنامه ریزی فناوری اطلاعات که متاسفــانه درعمل اهمیت چندانی به آن داده نمی شود، روشن کردن محدوده و کسب یک بینش مشترک درباره اهداف پروژه، بین همه عوامل دست اندرکار آن است. دستیابی به این بینش مشترک ازسویی به مجریان پروژه کمک می کند تا درک درستی از گامها و اقدامات ضروری پروژه پیدا کنند و بین این اقدامات و اقداماتی که می توان بسته به مقتضیات پروژه از آنها چشم پوشی کرد، تمایز قائل شوند، و از سوی دیگر انتظارات مدیران و کارکنان سازمان را از نتایج واقعی پروژه تعدیل می کند. تجربه نشان داده است که به دلیل نوپابودن فرهنگ برنامه ریزی فناوری اطلاعات در کشور ما، اغلب کارفرمایان چنین پروژه هایی دید درستی از نتایج موردانتظار نداشته و پروژه های برنامه ریزی فناوری اطلاعات را با تهیه سیستم جامع اطلاعاتی (MIS) و به طور خلاصه رفع همــــه مشکلات انفورماتیک سازمان یکی می دانند. چنین انتظاراتی در مرحله اجرا و پس از پایان پروژه، مجریان را با انبوهی از نیازها و توقعات غیرمعقول روبرو می سازد که درصورت عدم کنترل می تواند بر ارزیابی نتایج پروژه، اثرات منفی جدی به جای نهد. ▪ تمرکز بر روش، به جای توجه به نتایج: یکی از دامهایـی که بر سر راه مجریان پروژه های برنامه ریزی فناوری اطلاعات وجود دارد، عطف توجه بیش از حد به متدولوژی پروژه به بهای غفلت از نتایج آن است. هرچند فرایند برنامه ریزی فناوری اطلاعات فرایندی است روشمند که متدولوژی های مختلفی برای انجام آن پیشنهاد شده است، اما باید توجه داشت که همه این متدولوژی ها صرفاً الگوهای راهنمایی برای هدایت فرایند برنامه ریزی هستند؛ فرایندی که ذاتاً ماهیتی خلاق و پویا دارد و باید با توجه به مقتضیات محیطی خاص طراحی شود. به همین دلیل است که برخی از طراحان متدولوژی های برنامه ریزی فناوری اطلاعات که در سالهـــای اخیر رواج یافته اند، ترجیح می دهند روشهای پیشنهادی خود را در چارچوب بنامند، نه روش. تمرکز بر روش و غفلت از نتایج، در اکثر پروژه های برنامه ریزی فناوری اطلاعات، مجریان را به جمع آوری و تحلیل انبوهی از داده ها وامی دارد که در مراحل بعدی بخش عمده ای از آنها، مورداستفاده قرار نمی گیرند، یا در نتایج نهایی چندان تاثیری ندارند. همچنین عدم توجه به اولویت گذاری کاربردهای فناوری اطلاعات، که روشهای شناخته شده ای برای آن وجود دارد (۵)، مجریان را در مرحله برنامه ریزی اجرایی، با تعریف تعداد زیادی پروژه مواجه می کند که حجم زیاد منابع موردنیاز برای آنها، عاملی بازدارنده برای تصمیم مدیریت مبنی بر ادامه سرمایه گذاری در فناوری اطلاعات محسوب می شود.▪ تعداد مــــراحل: تعداد مراحل یک پروژه برنامه ریزی فناوری اطلاعات، به متدولوژی انتخاب شده بستگی دارد. به عنوان مثال، متدولوژی برنامه ریزی سیستم های تجاری (BUSINESS SYSTEM PLANNING=BSP) الگوی چهارمرحله ای استفاده می کرد (۶). در اکثر پروژه های اجرا شده برمبنای متدولوژی مهندسی اطلاعات (INFORMATION ENGINEERING=IE) پروژه از ۷ مرحله تشکیل شده است (۷). چارچوب معماری این گروپ (THE OPEN GROUP ARCHITECTURE FRAMWORK=TOGAF) چرخه ای مرکب از ۹ گام را پیشنهاد می کند (۸). با وجود این، بسته به مقتضیات پروژه می توان با ادغام یا تجزیه مراحل استاندارد، تعداد مراحل عملی هر پروژه را کم یا زیاد کرد. در انتخاب تعداد مراحل پروژه، در سازمانهایی که سطح مشارکت کارکنان در فرایند برنامه ریزی پایین است (مانند آنچه در اکثر سازمانهای کشور ما به چشم می خورد)، باید به این نکته توجه کرد که هرچه تعداد مراحل پروژه بیشتر باشد، نقاط تماس با مدیران و کارکنان سازمان (به منظور جمع آوری اطلاعات، تصحیح مدلها، صحه گذاری نتایج و...) افزایش می یابد، و به همین نسبت انرژی بیشتری باید برای جلب مشارکت کارکنان صرف شود. طولانی شدن زمان لازم برای اظهارنظر کارفرما درمورد گزارشهای هر مرحله، که اغلب در مرحله برنامه ریزی پروژه به درستی برآورد نمی شود، عامل مهمی در انحراف زمانی پروژه های برنامه ریزی فناوری اطلاعات از زمانبندی پیش بینی شده آنهاست. ▪ داده گرایی / فرایندگرایی:گذشته از تنوع روشهای مدل سازی که در پروژه ها به کار گرفته می شود، تقریباً همه روشهای شناخته شده برنامه ریـــــزی فناوری اطلاعات بر مدل سازی هر دو لایه عملیاتی و اطلاعاتی از معماری سازمان تاکید دارند. با وجود این، تاکید اصلی در هر روش متفاوت است. روشهای سنتی برنامه ریزی فناوری اطلاعات که بیشتر در زمینه برنامه ریزی سیستم های اطلاعاتی کاربرد داشته اند (مانند BSP وIE)، توجه اصلی خود را بر داده ها متمرکز می کنند و می کوشند از طریق ایجاد یک معماری اطلاعاتی یکپارچه، یکپارچگی و جامعیت سیستم های اطلاعاتی سازمان را تامین کنند. به همین دلیل، ماتریس های داده /فرایند که در این متدولوژی ها نقش اساسی در تعیین معماری سیستم های اطلاعاتی ایفا می کنند، معمولاً به طور مستقیم در طراحی و تفکیک بانک های اطلاعاتی سازمان درمراحل بعدی توسعه سیستم ها قابل استفاده است. در نقطه مقابل آن، رهیافتهای جدیدتر مبتنی بر خدمات سازمانی، به تحلیل داده ها تنها به عنوان مکملی برای مدل سازی فرایندها نگاه می کنند. انتخاب یکی از این دو دیدگاه، باتوجه به ماهیت کسب و کار و مدل کاری کلان سازمان، در ابتدای پروژه، اهمیت زیادی دارد. رهیافتهای داده گرا درمورد سازمانهایی که برمبنای ارائه خدمات یا انجام فرایندهای پیچیده و مرتبط شکل گرفته اند، معمولاً به شناسایی مجموعه ای از سیستم های اطلاعاتی یکپارچه می انجامد، بدون آنکه درعمل یکپارچگی عملیاتی مناسب را در سطح گردش کار روزمره سازمان، تامین کند. در مقابل رهیافتهای فرایندگرا در محیطهایی که کارکردهای تحلیلی و تصمیم گیری اولویت دارند، معمولاً از ایجاد یکپارچگی اطلاعاتی لازم برای پشتیبانی از روندهای تصمیم گیری کلان عاجزند. ● مشکلات ناشی از اجرا ▪ برنامه ریزی فرایند است، نه نتیجه: نکته ای که در اکثر پروژه های برنامه ریزی فناوری اطلاعات هم از سوی کارفرمایان، و هم از سوی مجریان، از آن غفلت می شود، ماهیت مستمر فرایند برنامه ریزی است. درواقع اجرای پروژه های برنامه ریزی فناوری اطلاعات را تنها باید به عنوان نقاط شروع این فرایند در سازمانها محسوب کرد. انجام این پروژه ها توسط مشاوران بیرونی، بیش از آنکه برای به سرانجام رساندن پروژه و تولید گزارشهای نهایی باشد، باید با هدف توانمندسازی ساختار داخلی سازمان برای ادامــــــه و استمرار فرایند برنامه ریزی صورت گیرد. عدم توجه به ماهیت فرایندی برنامه ریزی فناوری اطلاعات موجب می شود که مدیران از انجام نخستین پروژه برنامه ریزی فناوری اطلاعات، که دراکثر موارد پس از پایان پروژه به نحو موثری به استمرار فرایند برنامه ریزی منجر نمی شود، توقع تاثیر درازمدت در تصمیم گیریهای سازمانی درمورد فناوری اطلاعات داشته باشند. توقعی که معمولاً برآورده نخواهدشد. ▪ برآوردهای نادرست از زمان و هزینه پروژه: هرچند که زمان طبیعی برای انجام پروژه های برنامه ریزی فناوری اطلاعات بین ۶ تا ۹ ماه برآورد می شود، با وجود این، درکشور ما کمتر پروژه ای را می توان یافت که در این محدوده زمانی به نتیجه مطلوب رسیده باشد. یکی از دلایل عمده این امر، عدم تحلیل مخاطرات پروژه در ابتدای کار، یا عدم توجه کافی به برخی از ریسک های جدی مانند عدم مشارکت مدیران و کارکنان، یا تغییرات سازمانی است. تجربیات شخصــی نگارنده در اجرای پروژه های برنامه ریزی فناوری اطلاعات در سازمــانهای متعدد دولتی و خصوصی نشان می دهد که به طور متوسط ۳۰ تا ۴۰ درصد زمان واقعی پروژه صرف بررسی و اظهارنظر نتایج پروژه توسط نمایندگان کارفرما، و اصلاحات ناشی از این بررسیها می شود، درحالی که در برنامه ریزی پروژه این زمان چیزی در حدود ۵ تا ۱۰ درصد زمان کل پروژه برآورد می شود. ▪ ترکیب و تخصص تیم اجرایی: واقعیت آن است که اکثر شرکتهای مشاوره ای که در کشور ما اقدام به اجرای پروژه های برنامه ریزی فناوری اطلاعــات می کنند، در یکی از دو دسته زیر می گنجند: - شرکتهــــــــای با زمینه رایانه ای (اغلب نرم افزاری) که کارشناسان و تحلیلگران آنها معمولاً در رشته های مرتبط با نرم افزار تخصص و تجربه دارند. - شرکتهای مشاوره مدیریت که زمینه تخصصی کارشناسان آنها را رشته هایی مانند مدیریت، مهندسی صنایع، اقتصاد و رشته های مشابه تشکیل می دهد. درهریک از این دو صورت، غلبه یکی از دو دیدگاه مهندسی یا مدیریتی بر تیم اجرایی پروژه، می تواند توانایی این تیم را در تحلیل و مدل سازی همه لایه ها و ابعاد معماری فناوری اطلاعات را در سازمان هدف تضعیف کند. فرایند برنامه ریزی فناوری اطلاعات در یک سازمان فرایندی است پیچیده که به دانش نسبتاً بالایی در زمینه های متنوعی از مدیریت استراتژیک و مهندسی سیستم گرفته تا مهندسی نرم افزار و تخصصهای ارتباطات و شبکه نیاز دارد. فراهم آوردن ترکیب مناسبی از این تخصصها در تیم اجرایی پروژه، عامل مهمی در موفقیت پروژه است، که درعمل عدم تحقق آن به یکی از چالشهای جدی مدیران پروژه ها تبدیل می شود. ▪ ارتباط با پروژه های دردست اجرا: پروژه های برنامه ریزی فناوری اطلاعات معمولاً در سازمانهایی تعریف می شود که در سطوح مدیریتی آنها عزم مشخصی در زمینه توسعه فناوری اطلاعات در سازمان پدید آمده باشد، یا اینکه محرکهای بیرونی قــوی برای توسعه برنامه ای آن احساس شده باشد. در چنین مواردی، فشار برای ســـرمایه گذاری در پروژه های توسعه ای موازی در زمینه فناوری اطلاعات چندان غیرمعمول نیست. یکی از چالشهای اصلی تیم های اجرایی پروژه های برنامه ریزی فناوری اطلاعات در این سازمانها، چگونگی ارتباط فرایند و نتیجه پروژه، با دیگر پروژه های فناوری اطلاعات دردست اجراست. در چنین حالتهایی، از یکسو شمول نتایج پــروژه برنامه ریزی فناوری اطلاعات ایجاب می کند که پروژه های دیگر ازنظر تعریف و اجرا با این نتایج سازگار شوند، و از سوی دیگر، لزوم تسریع در اجرا و بهره برداری از پروژه های دیگر، فشار مضاعفی را برای تسریع در ارائه نتایج پروژه برنامه ریزی فناوری اطلاعات وارد می کند. درعمل بسیاری از مجریـــــان پروژه های برنامه ریزی ناگزیر می شوند پیش از پایان پروژه خود و نهایی شدن نتایج آن، در مقام مشاور برای تعریف و راهبری پروژه های دیگر ایفای نقش کنند. نقشی که خودبه خود در سمت گیری نتایج پروژه برنامه ریزی فناوری اطلاعات موثر است. ●● نتیجه گیری چالشهایی که برای پروژه های برنامه ریزی فناوری اطلاعات ذکر شد، تنها بخشی از مشکلاتـــی است که مجریان پروژه های برنامه ریزی فناوری اطلاعات در سازمانهای کشور ما با آنها روبرو هستند. رفع ریشه ای برخی از این مشکلات به زمان و فرهنگ سازی طولانی در محیطهای سازمانی و لایه های مدیریتی این سازمانها نیاز دارد، و یقیناً از توان یک مشاور به تنهایی خارج است. اما برخی از توصیه های عمومی را می توان به منظور کاهش مخاطرات ناشی از این عوامل، یا حداقل کاهش اثرات آنها به کار بست، که در اینجا به طور خلاصه به آنها اشاره می شود: ۱ - بر روی مشارکت کارکنان سرمایه گذاری کنید. تا می توانید، و از هر راه ممکن مشارکت مدیران و کارکنان کلیدی سازمان را در فرایند برنامه ریزی جلب کنید. نخستین گام برای جلب این مشارکت، اطلاع رسانی درمورد اهداف، دامنه، روش و الزامات اجرای پروژه است. اما این اطلاع رسانی، اگر صرفاً به برگزاری یک جلسه افتتاحیه محدود شود کافی نیست. باید مطمئن شوید که همه مدیران و کارکنان کلیدی و تاثیرگذار سازمان، از آنچه شما می خواهید انجام دهید، و از تاثیر آن بر آینده کاری خود آگاه شده اند. برخی از مشاوران نسبت به افشای رموز و فوت و فن کاری خود در محیط کارفرما مقاومت می کنند. با چنین روحیه ای مطلقاً نمی توان به جلب مشارکت کارکنان امیدوار بود. همچنین نباید در ارزیابی فاصله علمی و فنی خود با کارشناسان کارفرما اغراق کنید یا آن را به نمایش بگذارید. در جلب مشارکت کارکنان دو موضوع شایسته توجه بیشتری است: نخست نقش کلیدی مدیران میانی، که اغلب در میانه مدیران ارشد و کـــارکنان سطح پایین از آنها غفلت می شود، و دوم اهمیت مکانیسم های جبران مشارکت در پروژه. واقعیت این است که هزینه مشارکت کارکنان در پروژه باید از ابتدا توسط کارفرما برآورد و پیش بینی شده باشد، اما حتی درصورتی که بودجه مشخصی برای این کار درنظر گرفته نشده باشد، مجری موظف است که این هزینه ها را جزء هزینه های انجام پروژه محاسبه کرده و مکانیسم سالمی برای پرداخت آن طراحی کند. ۲ - به ماهیت چرخه ای فرایند برنامه ریزی توجه کنید. برخلاف الگوهای سنتی برنامه ریزی (به عنوان مثال IE)، چــــارچوبهای جدیدتر برنــامه ریزی فناوری اطلاعات بر ماهیت چرخه ای و تکرارشونده برنامه ریزی تاکید دارند. گذشته از آنکه زمان پیش بینی شده برای انجام پروژه چه فرصتی برای تکرار مراحل فــراهم کند، باید توجه داشت که اصرار بر جمع آوری همه اطلاعات لازم یا تکمیل همه اجـــــزای یک مدل در یک مرحله پروژه، گاهی ممکن است اثرات تاخیری بر کل پروژه داشته باشد، درحالی که می توان بسیاری از نواقص مراحل پیشین را در مراحل بعدی جبران کرد. ۳ - زمان لازم برای اظهارنظر کارفرما پیش بینی کنید. ضروری است که زمانهای لازم برای بررسی و صحه گذاری فرآورده های پروژه ها توسط نمایندگان کارفرما، به طور مشخص در برنامه زمانی پروژه پیش بینی شده باشد. برآورد این زمان باید باتوجه به عوامل مختلفی از قبیل فرهنگ و بلوغ سازمانی، سابقه برنامه ریزی در سازمان، سطح تخصص نمایندگان کارفرما، و... صورت گیرد. بویژه باید از این ساده انگاری که فهم و بررسی فراورده ها، به همان سرعتی که توسط ما صورت می گیرد، توسط نمایندگان کارفرما نیز می تواند انجام شود، پرهیز کرد. ۴ - محدوده و اهداف پروژه را از پیش روشن سازید. تا آنجا که می توانید درک مشترکی بین خود و عوامل کارفرما، از دامنه و اهداف پروژه ایجاد کنید. مطمئن شوید که مدیریت و کارکنان درگیر در پروژه، موضوع و هدف پروژه را با مفاهیم مرتبطی مانند سیستم جامع، MIS ، ERP، و... خلط نمی کنند. ۵ - دانش برنامه ریزی فناوری اطلاعات را به محیط کارفرما منتقل کنید. ممکن است این انتقال دانش فنی در کوتاه مدت به زیان شما به نظر برسد. اما مطمئن باشید بدون انتقال فرهنگ و دیدگاه برنامه ریزی فناوری اطلاعات به سازمان، هیچگاه ارزیابی درستی از اهمیت و ارزش کار شما صورت نخواهدگرفت.